جوجل تحذر من ثغرة وينرار المستغلة حالياً

ثغرة وينرار CVE-2025-8088 تُستغل حالياً على نطاق واسع، ما يهدد أجهزة ويندوز ببرمجيات خبيثة ويؤكد ضرورة التحديث الفوري وفقاً لتقارير أمنية.

ما خطورة ثغرة وينرار CVE-2025-8088؟

الخلل يحمل درجة 8.8 على مقياس CVSS، وتم إصلاحه في إصدار WinRAR 7.13 بتاريخ 30 يوليو 2025. فتح أرشيف مُعدّ بعناية على نسخة غير محدثة قد يسمح بتنفيذ أوامر عن بُعد والتحكم بالنظام.

• التأثير: تنفيذ تعليمات برمجية على الجهاز.
• الإصدارات المتأثرة: كل النسخ قبل 7.13.
• الحالة: استغلال نشط عبر حملات متعددة.
• نوع الخلل: اجتياز مسار يسمح بالكتابة في مجلدات حساسة.

هذا النوع من الثغرات يُستغل غالباً كبوابة دخول أولية قبل تحميل برمجيات تجسس أو فدية، وهو ما يضاعف أثره على المستخدمين الأفراد والشركات.

لماذا تُعد حرجة؟

الخطورة تكمن في أنها تمنح المهاجم وصولاً أولياً سريعاً يفتح الباب للسرقة أو الفدية. كما تسمح بوضع ملفات تشغيل تلقائي داخل مجلد بدء التشغيل في ويندوز.

كيف يستغل المهاجمون الخلل لتحقيق الاستمرارية؟

يعتمد السيناريو الشائع على إسقاط ملف خبيث داخل Windows Startup عبر مسارات ملتوية داخل الأرشيف. ويتم إخفاء الاختصار الخبيث داخل تدفقات البيانات البديلة ADS لملف طُعم.

• إرسال أرشيف يحتوي ملفاً ظاهره طبيعي.
• إخفاء اختصار LNK أو سكربت داخل ADS للملف.
• استخراج الملفات إلى مسار Startup بدلاً من المجلد المقصود.
• تشغيل الحمولة تلقائياً بعد إعادة تشغيل الجهاز أو تسجيل الدخول.

أين يختبئ الملف الخبيث؟

وجوده داخل ADS يجعل اكتشافه صعباً للمستخدمين، لأن الملف الطُعم يبدو سليماً في الواجهة. لذلك تبرز الحاجة لفحص الأرشيفات بأدوات حماية قادرة على قراءة هذه التدفقات.

من الجهات التي تستغل الثغرة حالياً؟

تؤكد تقارير فرق التهديدات أن جهات مرتبطة بروسيا والصين إلى جانب مجموعات مالية استغلت الخلل منذ يوليو. حسب تيكبامين، استُخدمت الثغرة من قبل RomCom لإسقاط SnipBot، كما رُصدت حملات تنشر Poison Ivy وAsyncRAT.

• RomCom (CIGAR/UNC4895) استغلها كزيرو-داي في 18 يوليو 2025.
• UNC2596 المرتبط بسلسلة هجمات فدية Cuba للحصول على وصول أولي.
• جهة صينية استخدمت سكربت دفعي لتنزيل Dropper بعد زرع Poison Ivy.
• عصابات مالية نشرت XWorm وبوابات خلفية تُدار عبر تيليجرام.
• حملة تستهدف البرازيل وزعت إضافة Chrome خبيثة لحقن JavaScript.

ماذا يعني ذلك للشركات؟

تنوع الجهات المهاجمة يعني أن الثغرة تُستخدم في التجسس والسرقة والابتزاز على حد سواء. وهذا يرفع احتمالات الاختراق حتى للقطاعات التجارية التي لا تُعتبر أهدافاً تقليدية.

كيف تحمي جهازك من الاستغلال الآن؟

أفضل خطوة فورية هي التحديث إلى WinRAR 7.13 أو أحدث، مع مراجعة سلوك البرامج التي تعمل عند بدء تشغيل ويندوز. من المهم أيضاً تطبيق سياسات تمنع فتح الأرشيفات غير الموثوقة.

• تحديث WinRAR والتحقق من رقم الإصدار بعد التثبيت.
• حظر تشغيل ملفات LNK وBAT المستخرجة من الأرشيفات.
• مراقبة مجلد Startup وأي تغييرات غير معتادة.
• فحص الأرشيفات قبل فتحها باستخدام حلول حماية محدثة.
• توعية المستخدمين بمخاطر ملفات الطُعم وروابط التنزيل.

الخلاصة: مواجهة ثغرة وينرار تتطلب تحديثاً فورياً ومراجعة ملفات بدء التشغيل، فالتأخير قد يمنح المهاجمين منفذاً ثابتاً حتى بعد إعادة التشغيل.